Presentación.

"Los locos somos los que trazamos los caminos... Que luego los cuerdos recorren"... Don Quijote

viernes, 10 de junio de 2011

Caso de Estudio: Ingeniería Social.

Toda esta historia comienza en una institución educativa, con un simple reto informático propuesto por un docente (Pedro), el cual consistía en ingresar a un servidor configurado en la nube, y de este extraer una palabra clave. Para ingresar a este servidor existían dos formas (fuerza bruta y un bug de seguridad que tenia la app WEB instalada en el). Este reto solo fue superado por una persona, la cual llamaremos "Carlos", por fuerza bruta.
Al día siguiente Pedro le explica a Carlos y a su amiga (Carla), la forma de resolver este reto informático con el método fácil (bug), aparte de esto Pedro agrega que esta información es confidencial. Pedro a su vez propone el mismo reto a un grupo de personas como parte de una "nivelación" por bajo rendimiento académico. Carlos haciendo caso omiso a la advertencia de Pedro, le explica a un grupo de amigos la forma de resolver el reto de la manera fácil (Lo que es una clara muestra de fuga de información). Esta información por medios aun desconocidos, llega a oídos de una de las personas que hace parte del grupo que tiene asignada la "nivelación", y que en este caso llamaremos "Paola".
Paola en cuestión de 15 minutos resuelve la nivelación y la entrega, en ese momento Pedro se percata que existe algo raro y comienza una investigación exhaustiva acerca de este tema, encontrando un fraude en la culminación del proceso de nivelación de Paola. De este modo sale a la luz un claro sospechoso (Carlos), por ser el único que conocía la solución a ese reto y haber divulgado información privada.
Luego de una investigación detallada se determina que Carlos no fue el que cometió el fraude, tomando una serie de decisiones: a Paola se le suspende 5 años de la institución educativa, a Carlos se le impone una tarea de ingeniería social, y a Carla se le impone un trabajo de investigación (por haber visto la fuga de información en progreso y no haberla detenido).
La tarea de ingeniería social de Carlos consiste en crear una pagina básica en PHP, que cumpla con los siguientes requisitos:
* Lo mas real posible.
* Tener un espacio para introducir una contraseña.
* Tener un botón que redireccione a otra pagina.
* La contraseña ingresada en la primer pagina, debe quedar almacenada en un archivo de texto.
* La segunda pagina debe sacar un porcentaje aleatorio que diga que tan "segura" es la contraseña introducida.
* Debe estar almacenada en un hosting gratuito para de esta manera ser accesible desde Inet.

Ademas, Carlos debe crear una trama, de tal forma que pueda capturar un mínimo de 50 contraseñas de personas diferentes, estas contraseñas solo son usadas como evidencia del trabajo realizado, y no tienen ningún valor, ya que la pagina solo almacena contraseñas (sin nombre de usuario ni pagina correspondiente)

Para esta tarea Carlos cuenta con un mes de plazo, para su realización, en muchos momentos siente que no va a ser capaz de terminar con éxito este trabajo, ya que no tiene ni idea de programación de paginas WEB, en muchos momentos intento buscar ayuda sin encontrar  nadie que le pueda dar una solución valida a sus dudas.
Dos días antes de que el plazo se cumpla, Carlos consigue programar la pagina WEB totalmente funcional, ahora el problema es alojarla en un hosting gratuito, ya que la mayoría de hosting demoran entre uno y tres días actualizando su DNS y la URL con la que cuenta es muy poco creíble.
Carlos toma la decisión de empezar su trabajo de ingeniería social con esta URL, teniendo en cuenta la clase de personas que va a "atacar", ya que sabe que una persona con un mediano conocimiento del tema no va a introducir sus contraseñas en cualquier parte, y mucho menos con una URL tan fantasiosa.
La trama que Carlos se ha inventado es realmente muy sencilla, ya que consiste en decirle a sus "victimas" que esto es un proyecto de final de semestre en su institución educativa, y que ademas necesita hacer una exposición con gráfica y cuadro de probabilidades para Pedro.
Sin embargo, Carlos en su proceso, se lleva varias sorpresas, entre las mas destacadas están:
* Una mujer que ingresa sus cuatro contraseñas a la pagina creada anteriormente, y luego le dice a que corresponden.
* Un grupo de personas que sin saber la verdad del asunto, se ponen en la tarea de ayudarle en su recolección de contraseñas.
* Una persona que estando en el mismo grupo en su institución educativa, cae en su proceso de ingeniería social.
* Una persona que estando mas adelantada en su proceso de aprendizaje, ingresa su contraseña a la pagina, y ademas ayuda en este proceso de recolección (sin saber la verdad del tema).


CONCLUSIONES.
* Antes de ayudar a cualquier persona en alguna cosa, se debe preguntar a fondo sobre el tema, ya que se puede meter en problemas sin saber.
* Cuando digan "información privada", por favor respetar la confidencialidad de esto.
* Estar bajo investigación es muy incomodo, por favor no haga motivos para ser sospechoso de algo.
* No siempre ayudar es la mejor opción, a veces debemos dejar que las personas se estrellen contra el mundo para que de esta forma puedan aprender de sus propios errores.
* Las personas son demasiado confiadas con las personas que "conocen".
* La ingeniería social es un arma de doble filo, y si no se sabe usar, podría traer complicaciones.
* Haciendo un balance de las contraseñas capturadas, nos damos cuenta que las personas cada vez están generando claves mas fáciles de deducir.
* Hacer ingeniería social es bastante fácil. 

No hay comentarios:

Publicar un comentario